爱上硬科技的侠义“黑客”——众人科技谈剑峰

爱上硬科技的侠义“黑客”——众人科技谈剑峰

【财联社】（记者 刘雪）中国黑客圈里，“绿色兵团”被尊为黄埔军校。这是国内第一代黑客组织，1997年由三个小伙伴创立，谈剑峰就是其中之一。

那年谈剑峰21岁。他要做真正的黑客，有侠义精神、执着不悔。

21年过去了，如今，他身上有数十个“title”。全国政协委员、上海信息安全行业协会会长、上海众人网络安全技术有限公司董事长……

然而，他喜欢最简单的标签——背着双肩包的、不怎么有趣的“IT男”。

“现金”买单

在互联网世界中，当便捷和安全产生矛盾时，更多人愿意选择便捷，但谈剑峰例外。

12月23日中午，在上海静安区一家茶吧，谈剑峰从口袋里掏出一沓整齐的纸币，拿出一张递给服务员，为一杯蜂蜜柠檬水买单。

“小额支付我用现金，大额刷信用卡。”谈剑峰不使用网络支付，“只要你通过APP有过网络支付交易，如果没有经过信息安全保护设置，商家就可以直接掌握你的支付信息和密码。”

刷脸解锁、刷脸支付、刷脸签到、刷脸进站……人脸识别技术把人们带进刷脸时代，更多的指纹信息、面部信息等生物特征毫无抵抗力的公之于众。

对指纹支付、刷脸支付这类便捷应用，谈剑峰更是避之唯恐不及。

“如果密码丢了，可以再设一个新的；可你不会有‘第二张脸’。”谈剑峰认为，当下网络信息安全保护不足，生物认证用在“互联网身份认证”应用场景中，是最不安全的一种技术。

生物信息往往是唯一特征，一旦存储公民大量生物特征信息的服务器受到攻击，数据被黑客掌握，后果不堪设想。

如今，中国互联网商业应用几乎发挥到极致。人们在下载APP时，往往默许了商家提出的各种授权要求。比如，访问你的通讯录、相机、位置；再比如刷脸、输入指纹、眨眼睛……

信息获取越丰富，用户脸谱越清晰。商家称，可以为用户提供更加精准的量身定制，奉上更加贴心的用户体验。

可很少有人会去抗议信息的过度获取。比如，“一个导航服务的APP，为什么会要求访问用户的通讯录？”甚至，很多用户并未深刻感知个人隐私信息正在流失，也很难取证什么时候泄露了，泄露了多少？

网络空间并非法外之地。

“今年欧盟最新出台的GDPR《通用数据保护条例》，如果你要开发一个APP，法规要求商家必须提供个人隐私数据保护措施，否则很可能面临天价罚单，商誉严重受损。”谈剑峰说。

当下，社交明星企业Facebook（脸书）正为此焦头烂额。今年以来，脸书出现三次大规模用户数据泄露事件。

最近一次在12月中旬，数百万用户私人照片泄露，外界估算这次脸书可能面临16亿美元的惩罚。最严重的一次发生在3月中旬，媒体曝光英国“剑桥分析”公司以不正当方式从脸书平台获取数千万用户数据，并利用数据分析结果精准推送广告，影响美国总统选举。

这让Facebook公司创始人马克•扎克伯格遭遇了前所未有的信任危机。

“这是个大错误，是我的错。”今年4月11日，他在美国国会接受了5个小时连番质询，承认对用户隐私泄露问题防范不足；5月22日，在欧洲议会听证会他又接受了质询，并表示将根据当月25日生效的欧盟隐私法案GDPR《通用数据保护条例》进行调整。

这一条例被称为“史上最严隐私法案”，违规企业最高可能受到2000万欧元或全球营业额4%的罚款，最低1000万欧元或全球营业额2%的罚款。

“简单举例，一个APP商家，只能获取与其服务相匹配的信息，一旦被发现过度获取用户信息，很可能面临天价罚单。”在谈剑峰看来，这个法案将倒逼着数据经济企业建立更完善的数据合规制度，以保障个人隐私数据不受侵犯。

作为我国网络安全领域的基础性法律，2017年6月1日起，《中华人民共和国网络安全法》正式实施。其中明确提出，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务。

“《网络安全法》的出台让全社会越来越重视网络安全这道命题。”不过，谈剑峰认为，国外对隐私泄露惩罚力度非常大，而我国在这方面处罚力度还比较轻。

网络江湖的攻与防

“你听说的‘暗网’，是真的。”谈剑峰了解网络世界的江湖儿女。“这里有盗、有匪，亦有侠；有攻、有防，亦有防与守。”

日常人们看见的互联网世界，仅仅冰山一角，而更多海量信息藏匿于“暗网”中，这一比例有人说超过90%，也有人说大约70%，无从查证。

“暗网”自然是不可见的网，通常需要通过特殊技术访问。别有用心者窃取公民个人信息，比如登录名和密码，通过暗网交易，形成社工库，产生“撞库”（通过已泄露信息生成对应字典表），形成巨大的黑色利益链条。

我国因盗号所衍生的黑产业链年获利超百亿元。这项统计来自2017年电商生态安全联盟发布的《电子商务生态安全白皮书》。

如果直接问一位女士的年龄，会被认为极不礼貌。如今，个人的出生年月、电话号码、家庭住址，甚至每天行动轨迹这些信息，很可能正在网上出售。需要补充的是，这些被我们奉若珍宝的个人隐私，售价低廉。

今年8月28日，国内大型酒店集团华住集团掌握的大量用户信息泄露，在暗网上被出售，其中包含姓名、身份证号、家庭住址等约1.3亿人身份证信息等数据，售价8个比特币或520门罗币（约合人民币37万元）。

除了兜售公民信息外，在暗网上，充斥着枪支弹药、毒品、假币等违禁品及非法交易。2017年美国宣布查封了世界上最大的暗网组织——“阿尔法湾”，其累计非法销售额估计10亿美元，而创始人年仅25岁。

2007年4、5月间，爱沙尼亚遭受全国性网络攻击，被攻击对象包括政府网站、新闻机构、银行、通讯公司，大量网站被关闭；2015年12月23日，乌克兰电力基础设施遭受到恶意代码攻击，大面积地区数小时停电……

互联网建设以安全为底线。在国际上，这些因网络安全问题而导致的重大危害事件足以说明：没有网络安全就没有国家安全！

地基打不牢，何谈上层建筑？谈到网络信息安全，谈剑峰神情认真且严肃。

“如果信息安全保护跟不上，我们在互联网时代跑得越快，风险越大。”谈剑峰说，近年来我国对网络信息安全高度重视，但长期以来，各界在网络信息安全保护领域投入严重不足，与发达国家差距较大。

“为什么电信诈骗那么多人上当？因为大量信息泄露，对方掌握了公民清晰的图谱，拼凑出来的故事更容易被相信。”他认为，电信诈骗、个人信息泄露等事件出现，根源在于网络信息安全存在漏洞。

谈剑峰介绍，发达国家在信息化建设中对信息安全投入有约束性要求。比如，美国信息安全投入在信息化投入中的比重占20%-25%、欧洲10%-15%，而目前中国大约只有1%-3%。

他在多个场合呼吁、建议，各界加强网络信息安全产业投入，推动核心技术突破，促进网络信息安全产业创新发展。

要玩就玩硬科技

回顾2018年，谈剑峰最兴奋的一件事是公司的“白盒化”加密顺利过审。

11月6日，国家密码局在“SOTP移动应用身份认证系统”的证书上盖上鲜红的印章。众人科技的“白盒化”加密技术（SOTP）产品顺利通过所有审批，获允准上市销售。

密码领域极其特殊，层层审批，过程严谨而漫长。谈剑峰带领团队从2015年着手开发“白盒化”密码技术产品，到所有审批流程走完，花了近3年时间。

密码技术与核技术、航天技术一直被视作国家安全三大支撑技术。在身份认证、安全隔离、信息加密等方面，密码有着独特的、不可替代的作用。

谈剑峰介绍说，密码领域既有政策门槛，更有技术门槛。目前国内具有涉及密码技术产品及服务资质的企业估计也只有几百家，而真正做出来白盒化密码技术产品并集齐审批的，目前唯独众人科技一家。

如果你是工商银行的用户，很可能会有一个小小的动态密码器，黑底镶着红边。这个产品就是众人科技创业的产品。

在上海浦东张江高科，众人科技公司专门的展览区，记者看到了公司开发的第一代、第二代动态密码产品；从小小的方块变成了薄薄的卡片，有中文版、英文版、阿文版……

最新的白盒化密码技术，众人科技给这项新技术起名为SOTP。这是公司传统动态密码技术OTP（One Time Password）的升级版。S代表着Super和Soft，中文可以理解为增强型动态密码技术。

谈剑峰介绍，以前的密码技术基于“黑盒”，需要安全芯片并依托硬件设备载体。而“白盒”加密技术，属于软件加密，无需安全芯片及实物载体，直接植入移动设备应用端，SOTP具有轻量化、部署快、功耗低、应用易得特征。

“信息安全核心技术，必须掌握在中国人自己手中。”打开众人科技的官网，这样热血的标语映入眼帘。

谈剑峰家里三代军人，自己毕业于中国人民解放军信息工程学院。军校毕业后，他经营起拿到上海001号许可证的网吧，与伙伴一起创建了中国最早的“红客”组织“绿色兵团”。

2007年，他拉着玩游戏认识的五个小伙伴创办了众人科技。

2011年，众人科技iKEY动态密码身份认证技术获得国家密码局、国家保密局等相关部门的许可，并被中科院认定为“填补国内空白，国际先进水平”。

如今的SOTP技术，是目前已公开披露的、国内首个获得官方认证的“白盒化”加密技术产品。

“要玩就玩硬科技。”谈剑峰坚信，只要热爱就一定能做好这件事。

对于公司而言，SOTP技术推出拓宽了更多应用场景。2018年，公司已经中标了建设银行、中国银行、农业银行、招商银行的白盒加密软件项目。除了传统政企、金融等客户外，众人科技还将和更多APP商家谈合作，通过服务APP守护终端消费者的数据信息安全。SOTP技术未来更会在个人隐私数据保护和物联网标示化信息安全服务应用上有更为广阔的应用空间。

2018年，众人科技销售收入大约在1.2-1.3亿元，预计2019年传统业务销售额有望提升到1.5亿元左右，如果算上SOTP带来的新业务，销售额有望达到2-3亿元左右。

科创板要来了

科创板要来了。这家硬科技公司做好了准备。

2019年，对于众人科技来说，将是充满想象、非常值得期待的一年。

2018年12月24日，谈剑峰已经接待了好几拨来自风投机构的投资人。

“这些年，几乎你想得到的顶级风投机构都来过了。”谈剑峰的助理兼任市场总监黄剑钊悄悄告诉记者。

谈剑峰对人很友好，对资本却很谨慎。

“我不要很多钱，只要有帮助的钱。”谈剑峰计划在上市前融1-2轮资金，A轮大约2-3亿元，主要用于产品市场推广，需要战略投资人而非财务投资者。

公司初创的前四年，因为还没有许可证，公司产品不能推向市场，曾经连续四个月发不出工资，可技术团队一个人没走。“他们不肯走，还劝我，要坚持。”

如今这家企业的团队从初创期的二三十人，拓展到了近两百人，其中70%以上是研发人员。

“刚开始创业的时候谁知道干这行要拿那么多许可证、走这么多审批流程。”聊到创业初期的时光，谈剑峰神采飞扬。

经过十年创业的淬炼，不断和政府、企业、市场打交道，这个曾经口拙的“IT男”如今口若悬河。

“别看我现在滔滔不绝，都是逼出来的。”他回忆起第一次被通知要上台主旨演讲的情景，“前一夜，我紧张地睡不着，不断改PPT；第二天马上要上台了，我一把把我们副总推了上去。”

虽然是多所大学、机构的创业导师，谈剑峰却不鼓励年轻人盲目创业。

“一旦创业，便没了退路，必须一直往前冲。”在谈剑峰看来，创业者时时身处风口浪尖，身后便是悬崖峭壁，稍不小心便粉身碎骨；日夜在刀山火海中煎熬，在腥风血雨中厮杀。明明看到了曙光，可曙光永远在前方，创业者永远在路上。

他曾是顶级的游戏玩家，是“魔兽世界”游戏里的“银龙”，用23.5小时从60级打到70级，刷新世界纪录，并成为中国魔兽世界70级第一人。如果玩起时兴的游戏“王者荣耀”，一定是“最强王者”级别。

“现在哪有时间玩游戏。如果要玩，可能还是魔兽世界，为了怀念。”他说。

除了网络技术，谈剑峰从很小就喜欢摄影。如今每次出差都会带上一台索尼的、带手动模式的小相机。

说到这里，他掏出来手机，和记者分享着“得意之作”。2017年春节他陪父母在冰岛看极光，5月陪父母去马尔代夫享受阳光和海滩。展示的照片大多都是风景照，有一张除外，橙黄色的夕阳下父母相依的剪影。

2018年事情太多，他还没有休过假。“平时工作太忙了，没时间陪父母，他们老了，只要有时间我就想多陪陪他们。”

创业者必然承受着高压。以前谈剑峰一年大半时间在北京，压力大的时候，就听着“周华健” 在5环开车；在上海，他曾经开车去昆山，一个来回；在四川，开车专挑林荫小道、盘山公路，只为寻一僻静之处。

“月溅星河，长路漫漫；风烟残尽，独影阑珊。”这是他最近常听的一首歌《悟空》。